Sicherheit

Phishing

Phishing ist eine Social-Engineering-Methode, bei der Angreifer ueber gefaelschte E-Mails, Websites oder Nachrichten versuchen, sensible Daten wie Passwoerter oder Kreditkarteninformationen zu stehlen.

Phishing ist die haeufigste Einstiegsmethode fuer Cyberangriffe und verursacht jaehrlich Schaeden in Milliardenhoehe. Die Methoden werden immer raffinierter: Von massenhaften Spam-Mails bis zu hochpersonalisierten Spear-Phishing-Attacken auf Fuehrungskraefte. Trotz technischer Schutzmassnahmen bleibt der Mensch das schwache Glied – weshalb Awareness-Schulungen ebenso wichtig sind wie technische Abwehr. Wer Phishing versteht, kann sich und sein Unternehmen wirksam schuetzen.

Was ist Phishing?

Phishing ist ein Cyberangriff, bei dem Angreifer sich als vertrauenswuerdige Entitaet ausgeben, um Opfer zur Preisgabe sensibler Informationen zu bewegen. Der Begriff leitet sich von 'fishing' (Angeln) ab – Angreifer werfen einen Koeder aus und hoffen, dass jemand 'anbeisst'. Es gibt verschiedene Varianten: E-Mail-Phishing (massenhafte gefaelschte E-Mails), Spear-Phishing (gezielte Angriffe auf bestimmte Personen), Whaling (Angriffe auf Fuehrungskraefte), Smishing (Phishing per SMS), Vishing (Phishing per Telefon) und Pharming (Manipulation von DNS-Eintraegen zur Umleitung auf gefaelschte Websites). Moderne Phishing-Angriffe nutzen oft KI, um ueberzeugendere Texte zu generieren, und setzen auf taeuschend echte Nachbildungen bekannter Websites. Die Ziele reichen von Zugangsdaten ueber Kreditkarteninformationen bis hin zur Installation von Malware.

Wie funktioniert Phishing?

Ein typischer Phishing-Angriff beginnt mit der Vorbereitung: Der Angreifer erstellt eine gefaelschte E-Mail, die von einer vertrauenswuerdigen Quelle wie einer Bank, einem Cloud-Dienst oder einem Kollegen zu stammen scheint. Die E-Mail enthaelt einen dringlichen Handlungsaufruf – etwa eine Passwortaenderung oder Kontoverifizierung. Der eingebettete Link fuehrt zu einer taeuschend echt nachgebauten Website, auf der das Opfer Zugangsdaten eingibt. Diese Daten werden direkt an den Angreifer uebermittelt. Bei Spear-Phishing recherchiert der Angreifer sein Ziel vorab und personalisiert die Nachricht mit echten Details, um Vertrauen zu erzeugen.

Praxisbeispiele

CEO-Fraud: Eine gefaelschte E-Mail vom vermeintlichen Geschaeftsfuehrer weist die Buchhaltung an, eine dringende Ueberweisung an ein 'neues Lieferantenkonto' auszufuehren.

Microsoft-365-Phishing: Eine E-Mail warnt vor einem 'ablaufenden Passwort' und leitet auf eine perfekte Kopie der Microsoft-Login-Seite um, die Zugangsdaten abgreift.

Bank-Phishing: SMS oder E-Mail im Namen einer Bank fordern zur 'Verifizierung' des Kontos auf, inklusive TAN-Eingabe auf einer gefaelschten Banking-Seite.

Lieferdienst-Phishing: Gefaelschte DHL- oder UPS-Benachrichtigungen ueber eine angebliche Paketzustellung enthalten Links zu Malware-Downloads.

LinkedIn-Spear-Phishing: Personalisierte Nachrichten an Mitarbeiter mit Bezug auf reale Projekte oder Kollegen, die zum Oeffnen eines infizierten Dokuments verleiten.

Typische Anwendungsfälle

Security-Awareness-Training: Simulierte Phishing-Kampagnen testen und schulen Mitarbeiter im Erkennen von Phishing-Versuchen

E-Mail-Security: Implementierung von SPF, DKIM und DMARC zur Verhinderung von E-Mail-Spoofing

Incident Response: Etablierung eines Meldeprozesses, ueber den Mitarbeiter verdaechtige E-Mails schnell melden koennen

Multi-Faktor-Authentifizierung: Selbst bei gestohlenem Passwort verhindert MFA den unbefugten Zugang

Vorteile und Nachteile

Vorteile

Awareness: Das Verstaendnis von Phishing-Methoden ist der erste Schritt zu wirksamem Schutz
Technische Abwehr: Moderne E-Mail-Filter erkennen und blockieren den Grossteil der Phishing-Mails automatisch
MFA als Sicherheitsnetz: Selbst bei erfolgreichen Phishing-Angriffen schuetzt Multi-Faktor-Authentifizierung vor Kontouebernahme
Messbare Verbesserung: Regelmaessige Phishing-Simulationen zeigen den Fortschritt der Mitarbeiter-Sensibilisierung

Nachteile

Mensch als Schwachstelle: Kein technischer Schutz ist 100% wirksam, solange Menschen auf taeuschende Nachrichten hereinfallen koennen
Staendig neue Methoden: Angreifer entwickeln kontinuierlich raffiniertere Techniken, die Schutzmassnahmen umgehen
KI-generiertes Phishing: Kuenstliche Intelligenz ermöglicht die Erstellung ueberzeugenderer und personalisierterer Phishing-Nachrichten
Hohe Schadenskosten: Ein einzelner erfolgreicher Phishing-Angriff kann Millionenschaeden verursachen

Häufig gestellte Fragen zu Phishing

Wie erkennt man eine Phishing-E-Mail?

Achten Sie auf: ungewoehnliche Absenderadressen (z.B. support@amaz0n-secure.com statt amazon.de), dringende Handlungsaufforderungen ('Ihr Konto wird in 24 Stunden gesperrt'), generische Anreden ('Sehr geehrter Kunde'), Rechtschreibfehler, verdaechtige Links (Hover ueber den Link zeigt die wahre URL) und unerwartete Anhaenge. Im Zweifel: Direkt ueber die offizielle Website einloggen, nie ueber einen Link in der E-Mail.

Was tun, wenn man auf einen Phishing-Link geklickt hat?

Sofort alle Passwoerter aendern, die auf der gefaelschten Seite eingegeben wurden. Multi-Faktor-Authentifizierung aktivieren, falls noch nicht geschehen. Den Vorfall dem IT-Sicherheitsteam melden. Betroffene Konten auf verdaechtige Aktivitaeten pruefen. Bei Finanzdaten die Bank kontaktieren. Den Rechner auf Malware scannen.

Wie kann ein Unternehmen sich systematisch vor Phishing schuetzen?

Durch eine mehrschichtige Strategie: Technisch durch E-Mail-Filter, SPF/DKIM/DMARC, Multi-Faktor-Authentifizierung und Web-Proxy-Filter. Organisatorisch durch regelmaessige Awareness-Schulungen und simulierte Phishing-Tests. Prozessual durch einen definierten Meldeprozess fuer verdaechtige E-Mails und einen Incident-Response-Plan.

Mitarbeiter und Systeme vor Phishing schuetzen?

Wir beraten Sie gerne zu Phishing und finden die optimale Lösung für Ihre Anforderungen. Profitieren Sie von unserer Erfahrung aus über 200 Projekten.

Phishing-Schutz anfragen Kostenlos beraten lassen

Zurück zum IT-Glossar